共用方式為


存取容器深入解析中的 Syslog 資料

容器深入解析提供從 Azure Kubernetes Service (AKS) 叢集中的 Linux 節點收集 Syslog 事件的功能。 這包括從控制平面元件 (例如 kubelet) 收集記錄的功能。 客戶也可以使用 Syslog 來監視安全性和健康情況事件,通常是將 syslog 內嵌至 Microsoft Sentinel 等 SIEM 系統中。

必要條件

  • 您必須使用在容器深入解析中設定和篩選記錄集合中的指導,為您的叢集啟用 Syslog 集合。

  • 主機節點上應提供連接埠 28330。

  • 確定叢集中已啟用hostPort功能。 例如,Cilium Enterprise 預設未啟用 hostPort 功能,並防止 syslog 功能運作。

內建活頁簿

若要快速取得 syslog 資料的快照集,請利用下列其中一種方法使用內建的 Syslog 活頁簿:

注意

如果您為叢集啟用容器深入解析 Prometheus 體驗,將無法使用 [報表] 索引標籤。

  • 容器深入解析中的 [報表] 索引標籤。 在 Azure 入口網站中瀏覽至您的叢集並開啟 [深入解析]。 開啟 [報表] 索引標籤,並找出 Syslog 活頁簿。

    從 [容器深入解析報表] 索引標籤存取的 Syslog 活頁簿影片。

  • 在 Azure 入口網站中 AKS [瀏覽至您的叢集] 中的 [活頁簿] 索引標籤。 開啟 [活頁簿] 索引標籤,並找出 Syslog 活頁簿。

    從叢集活頁簿索引標籤存取的 Syslog 活頁簿影片。

Grafana 儀表板

如果您使用 Grafana,可以使用適用於 Grafana 的 Syslog 儀表板來取得 Syslog 資料的概觀。 如果您建立新的 Azure 受控 Grafana 執行個體,預設可使用此儀表板。 否則,您可以從 Grafana 市集匯入 Syslog 儀表板

注意

您需要在包含 Azure 受控 Grafana 執行個體的訂用帳戶上具有 [監視讀取器] 角色,才能從容器深入解析存取 syslog。

Syslog Grafana 儀表板的螢幕擷取畫面。

記錄查詢

Syslog 資料會儲存在 Log Analytics 工作區上的 Syslog 資料表中。 可以在 Log Analytics 中建立自己的記錄查詢,以分析此資料或使用任何預先建置的查詢

在 Azure 監視器入口網站 UI 中,將 Syslog 查詢載入查詢編輯器中的螢幕擷取畫面。

您可以透過 [監視器] 功能表中的 [記錄] 功能表開啟 Log Analytics,以存取所有叢集的 Syslog 資料,或從 AKS 叢集的功能表存取單一叢集的 Syslog 資料。

具有 Syslog 查詢的查詢編輯器螢幕擷取畫面。

範例查詢

下表提供擷取 Syslog 記錄的不同記錄查詢範例。

查詢 描述
Syslog 所有 Syslog
Syslog | where SeverityLevel == "error" 所有具有錯誤嚴重性的 Syslog 記錄
Syslog | summarize AggregatedValue = count() by Computer 依電腦分類的 Syslog 記錄數
Syslog | summarize AggregatedValue = count() by Facility 按設施分類的 Syslog 記錄數
Syslog | where ProcessName == "kubelet" 來自 kubelet 流程的所有 Syslog 記錄
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" 來自 kubelet 流程的 Syslog 記錄及錯誤

下一步

設定之後,客戶可以開始將 Syslog 資料傳送至所選的工具

在此共享這項功能的意見反應:https://forms.office.com/r/BBvCjjDLTS